Dnes sleva 50% na webhosting NoLimit

Přidání diskuzního příspěvku

Vysvětlení situace ohledně DNSSEC dne 4. 4. 2017
13.04.2017  |  diskuze (7)
Jako vždy jsme otevřeni a nic netajíme.

Re: doplnění

TV, 18.04.2017 16:59:40

"Překvapilo nás, že ani CZ.NIC (jako největší propagátor DNSSEC) na svých DNS serverech DNSSEC nepoužíval."

Pane Grille, lžete rád? Vy totiž evidentně vůbec netušíte, co radíte a děláte a jak to funguje, což je na pováženou. Ty vámi avizované DNS servery samozřejmě DNSSEC ověřují (217.31.204.130 a 193.29.206.206).

dig @217.31.204.130 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @217.31.204.130 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56576
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; Query time: 837 msec
;; SERVER: 217.31.204.130#53(217.31.204.130)
;; WHEN: Tue Apr 18 16:54:26 CEST 2017
;; MSG SIZE rcvd: 50

--------

dig @193.29.206.206 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @193.29.206.206 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41391
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; Query time: 1142 msec
;; SERVER: 193.29.206.206#53(193.29.206.206)
;; WHEN: Tue Apr 18 16:54:55 CEST 2017
;; MSG SIZE rcvd: 50

--------

Takto oproti tomu vypadá výsledek na serverech, které DNSSEC neověřují, např. OpenDNS:

dig @208.67.222.222 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @208.67.222.222 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57590
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; ANSWER SECTION:
www.dnssec-failed.org. 7200 IN A 68.87.109.242
www.dnssec-failed.org. 7200 IN A 69.252.193.191

;; Query time: 175 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Apr 18 16:57:10 CEST 2017
;; MSG SIZE rcvd: 82

--------

Ono kdyby se u Vás někde zamyslel, tak jen opravdu nepříliš duševně vybavený jedinec bude doporučovat jako workaround pro expirované podpisy použití DNS serverů CZ.NIC, které jsou vysloveně avizovány jako validující - viz https://www.nic.cz/odvr/

[celé téma]

Nový příspěvek
Téma diskuze: Diskuze ke článku 'Vysvětlení situace ohledně DNSSEC dne 4. 4. 2017'
Vaše jméno: *
Předmět: *
Obsah:
*
  - nevkládejte žádné HTML tagy
  - odkazy budou automaticky zvýrazněny
odebírat další příspěvky v tomto tématu e-mailem
Kontrola:
opište text z obrázku: